Criar um provedor de identidades SAML no IAM - AWS Identity and Access Management
Pré-requisitosCriar e gerenciar um provedor de identidade SAML do IAM (console)Criar e gerenciar um provedor de identidade SAML do IAM (AWS CLI)Criar e gerenciar um provedor de identidade SAML do IAM (API da AWS)Próximas etapas

Criar um provedor de identidades SAML no IAM

Um provedor de identidade SAML 2.0 do IAM é uma entidade no IAM que descreve um serviço de provedor de identidade (IdP) externo compatível com o padrão SAML 2.0 (Security Assertion Markup Language 2.0). Você usa um provedor de identidade IAM quando deseja estabelecer confiança entre um IdP compatível com SAML, como Shibboleth ou Serviços de Federação do Active Directory e a AWS, para que os usuários em sua organização possam acessar recursos da AWS. Os provedores de identidade SAML do IAM são usados como entidades de segurança em uma política de confiança do IAM.

Para ter mais informações sobre esse cenário, consulte Federação SAML 2.0.

Você pode criar e gerenciar um provedor de identidade do IAM no AWS Management Console ou com a AWS CLI, o Tools for Windows PowerShell ou chamadas de API da AWS.

Depois de criar um provedor SAML, você deve criar uma ou mais funções do IAM. Função é uma identidade na AWS que não tem as próprias credenciais (como um usuário). Porém, neste contexto, uma função é atribuída dinamicamente a um usuário federado que é autenticado pelo IdP da sua organização. A função permite que o IdP de sua organização solicite credenciais de segurança temporárias para acesso à AWS. As políticas atribuídas à função determinam o que os usuários federados podem fazer na AWS. Para criar uma função para a federação do SAML, consulte Criar um perfil para um provedor de identidade de terceiros (federação).

Por fim, depois de criar a função, você conclui a confiança de SAML configurando o IdP com informações sobre a AWS e as funções que seus usuários federados deverão usar. Isso é chamado de configurar a confiança da parte dependente entre seu IdP e a AWS. Para configurar a confiança da parte dependente, consulte Configurar o IdP SAML 2.0 com objeto de confiança de terceira parte confiável e adição de declarações.

Pré-requisitos

Antes de criar um provedor de identidade SAML, é necessário ter as seguintes informações do IdP.

  • Obtenha o documento de metadados SAML do IdP. Esse documento inclui o nome do emissor, informações de expiração e chaves que podem ser usadas para validar a resposta de autenticação SAML (declarações) que são recebidas do IdP. Para gerar o documento de metadados, use o software de gerenciamento de identidade fornecido pelo IdP externo.

    Importante

    Esse arquivo de metadados inclui o nome do emissor, informações de validade e chaves que podem ser usadas para validar a resposta de autenticação do SAML (declarações) que são recebidas do IdP. O arquivo de metadados deve ser codificado no formato UTF-8 sem a marca de ordem de bytes (BOM). Para remover a BOM, você pode codificar o arquivo como UTF-8 usando uma ferramenta de edição de texto, como o Notepad++.

    O certificado x.509 incluído como parte do documento de metadados do SAML deve usar um tamanho de chave de, pelo menos, 1.024 bits. Além disso, o certificado x.509 também deve estar livre de extensões repetidas. É possível usar extensões, mas elas só podem aparecer uma vez no certificado. Se o certificado x.509 não atender a nenhuma das condições, a criação do IdP vai falhar e retornar um erro “Unable to parse metadata”.

    Conforme definido pela Versão 1.0 do Perfil de Interoperabilidade de Metadados do SAML V2.0, o IAM não avalia nem toma medidas em relação à expiração dos certificados X.509 em documentos de metadados do SAML. Caso não esteja preocupado com certificados X.509 expirados, recomendamos monitorar as datas de expiração dos certificados e alterná-los de acordo com as políticas de governança e segurança da sua organização.

Para obter instruções sobre como configurar muitos dos IdPs disponíveis para trabalhar com a AWS, incluindo como gerar o documento de metadados SAML necessários, consulte Integrar provedores de soluções SAML de terceiros com a AWS.

Para obter ajuda com a federação SAML, consulte Solução de problemas com a federação SAML.

Criar e gerenciar um provedor de identidade SAML do IAM (console)

Você pode usar o AWS Management Console para criar, atualizar e excluir provedores de identidade SAML do IAM. Para obter ajuda com a federação SAML, consulte Solução de problemas com a federação SAML.

Para criar um provedor de identidade SAMLdo IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Identity providers (Provedores de identidade) e, em seguida Add provider (Adicionar provedor).

  3. Para a opção Configure provider (Configurar provedor), escolha SAML.

  4. Digite um nome para o provedor de identidade.

  5. Em Metadata document (Documento de metadados), clique em Choose file (Escolher arquivo) e especifique o documento de metadados SAML que você obteve por download no Pré-requisitos.

  6. (Opcional) Para adicionar tags, você pode adicionar pares de chave-valor a fim de ajudá-lo a identificar e organizar seus IdPs. Você também pode usar tags para controlar o acesso aos recursos da AWS. Para saber mais sobre a marcação de provedores de identidade SAML, consulte Marcar provedores de identidades SAML do IAM.

    Escolha Adicionar Tag. Insira valores para cada par de chave-valor de tag.

  7. Verifique as informações fornecidas. Quando terminar, escolha Add provider (Adicionar provedor).

  8. Atribua um perfil do IAM ao seu provedor de identidade. Esse perfil fornece a identidades de usuário externas gerenciadas pelo seu provedor de identidade permissões para acessar recursos da AWS em sua conta. Para saber mais sobre como criar funções para a federação de identidades, consulte Criar um perfil para um provedor de identidade de terceiros (federação).

    nota

    Os IdPs do SAML usados em uma política de confiança de função devem estar na mesma conta em que a função está.

Para excluir um provedor SAML (console)

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Identity providers (Provedores de identidade).

  3. Marque a caixa de seleção ao lado do provedor de identidade que você deseja excluir.

  4. Escolha Excluir. Uma nova janela é aberta.

  5. Confirme se deseja excluir o provedor digitando a palavra delete no campo. Em seguida, selecione Excluir.

Criar e gerenciar um provedor de identidade SAML do IAM (AWS CLI)

Você pode usar a AWS CLI para criar, atualizar e excluir provedores SAML. Para obter ajuda com a federação SAML, consulte Solução de problemas com a federação SAML.

Para criar um provedor de identidade do IAM e carregar um documento de metadados (AWS CLI)
Para atualizar um provedor de identidade SAML do IAM (AWS CLI)
Para etiquetar um provedor de identidade do IAM existente (AWS CLI)
Para listar etiquetas para o provedor de identidade do IAM existente (AWS CLI)
Para remover etiquetas de um provedor de identidade do IAM existente (AWS CLI)
Para excluir um provedor de identidade SAML do IAM (AWS CLI)

  1. (Opcional) Para listar informações para todos os provedores, como o ARN, data de criação e expiração, execute o seguinte comando:

  2. (Opcional) Para obter informações sobre um provedor específico, como ARN, data de criação, data de expiração, configurações de criptografia e informações de chave privada, execute o seguinte comando:

  3. Para excluir um provedor de identidade do IAM, execute o seguinte comando:

Criar e gerenciar um provedor de identidade SAML do IAM (API da AWS)

Você pode usar a API da AWS para criar, atualizar e excluir provedores SAML. Para obter ajuda com a federação SAML, consulte Solução de problemas com a federação SAML.

Para criar um provedor de identidadedo IAM e carregar um documento de metadados (API da AWS)
Para atualizar um provedor de identidade SAML do IAM (API da AWS)
Para etiquetar um provedor de identidade existente do IAM (API da AWS)
Para listar etiquetas para um provedor de identidade do IAM existente (API da AWS)
Para remover etiquetas em um provedor de identidade existente do IAM (API da AWS)
Para excluir um provedor de identidade do IAM (API da AWS)

  1. (Opcional) Para listar informações para todos os IdPs, como o ARN, data de criação e expiração, chame a seguinte operação:

  2. (Opcional) Para obter informações sobre um provedor específico, como ARN, data de criação, data de expiração, configurações de criptografia e informações de chave privada, chame a seguinte operação:

  3. Para excluir um IdP, chame a seguinte operação:

Próximas etapas

Depois de criar um provedor de identidade do SAML, configure a confiança da parte confiável com o seu IdP. Também é possível usar declarações da resposta de autenticação do seu IdP em políticas para controlar o acesso a um perfil.